15 Февраля, 2013

Новости ИБ за 8 – 15 февраля 2013 года

Сергей Сторчак


Блоги:
Михаил Емельянников рассмотрел случаи мошенничества, совершаемые инсайдерами . Стоит уделять внимание угрозе, исходящей, как со стороны клиентов, так и со стороны сотрудников.

8 советов, позволяющих спокойно пройти таможню или, по крайней мере, не волноваться за информацию, если ваш ноутбук конфисковали.

5 основных вопросов, которые необходимо задавать в ходе каждого пересмотра планов непрерывности бизнеса .

Статьи:
Обеспечить безопасность веб-ресурса на сервере поможет связка Nginx + PHP-FPM.

Взлом LM-хэшей (LanMan) с помощью радужных таблиц. Рекомендуемые методы защиты – использовать пароль, имеющий длину не менее 15 символов, либо запретить хранить хеш-значения LAN Мanager для пароля в Active Directory и локальных базах данных SAM

Сайты по информационной безопасности тоже имеют уязвимости. В комментариях дискуссия на тему: «Кто круче: «Безопасник-практик» или «безопасники-теоретики»?». 

Acadion Security подготовилстатью« Cross Site Request Forgery. Vulnerabilityoverview. Whitepaper », в которой рассматриваются теоретическая и практическая части CSRF-атаки, а также решения по её предотвращению (англ.). 

Программное обеспечение:
ScanNow – бесплатный сканер уязвимостей UPnP-протоколов.

theHarvester v2.2a – программа осуществляет сбор e-mail-адресов, субдоменов, хостов, данных о сотрудниках, открытых портах и баннеров из различных открытых источников: поисковые системы, серверы ключей PGP и базы данных SHODAN.

Вебинары:

19 февраля 2013 г. в 11:00. Тема: « Практические аспекты проведения теста на проникновение » от ДиалогНаука. 

Ресурсы:
Universal Plug and Play. Router Security Check – тестирование ваших сетевых устройств (маршрутизаторов, принтеров, NAS, Smart TV и пр.) на наличие уязвимостей для атаки через UPnP-протокол.

Ophcrack – бесплатный взломщик windows-паролей, основанный на радужных таблицах .

KasperskyWhitelist - база данных «чистых» программ по версии «Лаборатории Касперского».

Ethical Hacking Blog - ресурс посвящен этичному хакингу и тестированию на проникновение.

«Завтра не умрет никогда» - запись фильма о киберугрозах.